10월 24일에 Microsoft에서 긴급 레벨의 패치가 하나 나왔습니다. 대부분의 보안 패치가 매월 둘째 주에 나오는 것에 비하면 상당히 이례적인 일입니다. 그만큼 이 보안 패치가 상당히 급한 것을 알 수 있는데요.
다른 패치는 천천히 해도 괜찮을지 모르지만 이 패치는 진짜로 긴급 레벨입니다. 지난주 목요일쯤부터(10월 29일) 이 취약점을 이용한 공격이 나오고 실제 해킹까지 이어지는 사례가 월요일부터 나오고 있습니다. 증상은 매우 간단하지만 피해는 엄청납니다. 이 취약점을 이용하는 경우 서버에 누군가 로그인 되어 있다면 갑자기 svchost.exe에 장애가 생겼음을 알리는 안내가 뜹니다. (또는 재부팅 후 로그인하면 svchost.exe의 오류 보고를 하겠느냐는 창이 뜹니다)
svchost.exe는 윈도우의 여러 부분을 관장하는 프로세스인데, 이 프로세스가 윈도우의 다음과 같은 부분을 담당하고 있습니다. 특히 이번 공격과 관련하여 다음과 같은 서비스들에 장애가 생깁니다.
- Computer Browser
- Distributed Link Tracking Client
- HID Input Service
- Logical Disk Manager
- Secondary Logon
- Server
- Windows Audio
- Wireless Configuration
- Workstation
이 공격을 받았다고 판단된다면 다음과 같이 명령 프롬프트에서 “net share”라고 쳐보면 확인이 가능합니다. 필요 없어서 Server 서비스를 정지시킨 것이 아니라면, 공격을 받은 것입니다.
문제는 이렇게 시스템에 장애가 생기고 난 뒤에 중요 시스템인 척하는 백도어가 발견되었다는 겁니다. 몇몇 백신으로 테스트를 해봤지만 아직 이 파일은 쉽게 검출되지 않더군요.
아직 보안 패치를 하지 않은 곳이라면 빠른 시일내에 보안 패치를 진행하시기 바랍니다. 다행인 것은 방화벽이 적절하게 도입되어 있는 곳은 피해를 입지 않는다는 사실이지요.
- 2008/10/24 - [윈도우-보안뉴스] - (비정기 긴급) 마이크로소프트 보안 공지 발표
- http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx
- 2008/08/01 - [웹방화벽(트릿센트리)] - 해킹 당한 후 자주 묻는 질문 4가지
- 2008/04/11 - [윈도우 보안] - 제로데이 공격(Zero-day attack)과 제로 시간 보호(Zero-hour protection)
- 2008/01/21 - [윈도우-보안뉴스/MS 관련 자료] - 윈도우 보안 패치 및 관리(WSUS 3.0)
- 2007/07/20 - [윈도우 보안] - 회사의 방화벽 정도는 있어야 하지 않을까요?
'윈도우 보안' 카테고리의 다른 글
| SelfSSL과 SelfCert를 이용한 인증서 설치 (0) | 2009/02/18 |
|---|---|
| 백신(in 서버)에 대한 잡담 (4) | 2008/11/26 |
| 'MS-긴급패치' 결국 '제로데이 공격확산 (0) | 2008/11/05 |
| 간단한 웹서버 해킹 점검 방법 (0) | 2008/09/09 |
| ARP 스푸핑 관련 자료 (1) | 2008/08/25 |
| 해킹 당한 후 증상들 #3 (5) | 2008/08/07 |
트랙백 주소 :: http://ntfaq.co.kr/trackback/4286
-
Subject: MS08-067 익스플로잇 코드를 이용한 서버 공격
Tracked from [문스랩닷컴] 삶에는 왕도가 없습니다 2008/11/06 22:51 삭제이번 달의 화두는 바로 MS08-067입니다. 인터넷 상에 PoC가 공개되었습니다. 현재 국내로 이 취약점을 이용하여 다양한 공격이 이루어지고 있으며 아래 자료를 통해 Server 서비스가 공격을 받는 상세한 자료를 보실 수 있습니다. http://www.ntfaq.co.kr/4286 또한, 최근 중국에서 이러한 코드를 이용하여 원격지(패치가 안된)에 접속하는 자료가 소개되었습니다. 익스플로잇 코드의 이름은 MS0867.exe 파일이며 이는 인터넷..
댓글을 달아 주세요